SSO/SAML ログインが「Received invalid SAML response: Timing issues (please check your clock settings)」というエラーで失敗する (Server および Data Center)
プラットフォームについて: Data Center のみ。 - This article only applies to Atlassian apps on the Data Center プラットフォーム。
この KB は Data Center バージョンの製品用に作成されています。Data Center 固有ではない機能の Data Center KB は、製品のサーバー バージョンでも動作する可能性はありますが、テストは行われていません。 Server* 製品のサポートは 2024 年 2 月 15 日に終了しました。Server 製品を実行している場合は、 アトラシアン Server サポート終了 のお知らせにアクセスして、移行オプションを確認してください。
*Fisheye および Crucible は除く
要約
ユーザーが SSO 経由でログインできません。
これは、すべてのユーザーに一貫して発生する場合もあれば、一部のユーザーに断続的に発生する場合もあります。
診断
アトラシアン製品のログを確認すると、次のようなエラーが見つかります。
2021-05-31 09:42:54,03 ERROR [https-jsse-nio2-8443-exec-104] [onelogin.saml2.authn.SamlResponse] isValid Timing issues (please check your clock settings)
-- url: /confluence/plugins/servlet/samlconsumer | traceId: c7455b0abd6e00bb | userName: anonymous
2021-05-31 09:42:54,404 ERROR [https-jsse-nio2-8443-exec-104] [com.onelogin.saml2.Auth] processResponse processResponse error. invalid_response
-- url: /confluence/plugins/servlet/samlconsumer | traceId: c7455b0abd6e00bb | userName: anonymous
2021-05-31 09:42:54,405+0200 ERROR [https-jsse-nio2-8443-exec-104] [impl.web.filter.ErrorHandlingFilter] doFilter Received invalid SAML response: Timing issues (please check your clock settings)
com.atlassian.plugins.authentication.impl.web.saml.provider.InvalidSamlResponse: Received invalid SAML response: Timing issues (please check your clock settings)
at com.atlassian.plugins.authentication.impl.web.saml.provider.impl.OneloginJavaSamlProvider.lambda$extractSamlResponse$1(OneloginJavaSamlProvider.java:89)
at com.atlassian.plugin.util.ContextClassLoaderSwitchingUtil.runInContext(ContextClassLoaderSwitchingUtil.java:48)
at com.atlassian.plugins.authentication.impl.web.saml.provider.impl.OneloginJavaSamlProvider.extractSamlResponse(OneloginJavaSamlProvider.java:80)
at com.atlassian.plugins.authentication.impl.web.saml.SamlConsumerServlet.doPost(SamlConsumerServlet.java:87)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:660)
...
2021-05-31 09:42:54,405+0200 http-nio-8080-exec-52 ERROR /plugins/servlet/samlconsumer [c.a.p.a.i.web.filter.ErrorHandlingFilter] Received invalid SAML response: Could not validate timestamp: expired. Check system clock.
com.atlassian.plugins.authentication.impl.web.saml.provider.InvalidSamlResponse: Received invalid SAML response: Could not validate timestamp: expired. Check system clock.原因
このエラーは文字通りの内容であり、IdP と SP (アトラシアン製品) 間のクロック同期の問題を示しています。
ユーザーが認証プロセスに成功した場合、IdP から SAML 応答を受け取ると、この応答は サブジェクトの確認を可能にする追加データを指定するか、サブジェクト確認の操作を実行できる状況を制限します。
これらの条件には、NotBefore 属性と NotOnOrAfter 属性が含まれる場合があります。以下に例を示します。
<Conditions NotBefore="2021-05-31T10:45:28.672Z" NotOnOrAfter="2021-05-31T11:45:28.672Z">
<AudienceRestriction>
<Audience>https://YOUR_APPLICATION_URL</Audience>
</AudienceRestriction>
</Conditions>NotBefore はサブジェクトを確認できるようになる日時であり、NotOnOrAfter はサブジェクトを確認できなくなる日時を示します。SP がこの間隔の外でリクエストを検証すると、失敗します。
ソリューション
システム クロックは通常、ネットワーク タイム サーバー (NTP - Network Time Protocol) を介して同期が維持されます。インフラストラクチャ管理者は、NTP が同期しており、時間差がごくわずかであることを確認する必要があります。
複数の SP へのログインに影響がある場合は、IdP サーバーのクロックが問題の原因である可能性が高いです。
アトラシアン製品へのログインだけが失敗している場合は、製品のサーバー側でクロックを修正する必要があります。
まれに、Microsoft ADFS を IdP として使用する場合は、小さなクロック スキューを小さなクロックのずれの原因にすることができる NotBeforeSkew という追加のパラメーターを構成できます。詳細については、マイクロソフトの次のドキュメントをご確認ください: ADFS > Set-AdfsRelyingPartyTrust。
他の IdP にも同様のオプションが存在する可能性があるため、IdP プロバイダーに確認することをお勧めします。
この内容はお役に立ちましたか?